1. 禁用 22 端口,通过 Web 认证授权,动态打开 ssh 端口
前面介绍的限制 root 登录系统,仍然做不到限制对 22 端口访问。黑客仍然可以使用口令字典尝试对已知帐号进行暴力口令破解。
最根本的解决之道,应该是禁止 22 端口的访问。
难道说将 22 端口改到其他端口么?
决不是。因为黑客可以通过 nmap 或者类似工具对服务器进行端口扫描,可以很快知道你的 SSH 登录的自定义端口!
难道说 SSH 登录,必须在可信网络或者只能在机房的控制台进行登录么?
也不是。失去了方便性的安全性,牺牲了可用性,最终会被抛弃,重回不安全的老路。
解决方案
安装群英汇软件包 ossxp-secure-opensesame
opensesame 芝麻开门之意
使用群英汇用户管理平台,为需要访问 ssh 服务的用户进行授权
即在用户的授权服务页中,添加名为 ssh 的服务。
用户登录步骤
用浏览器打开页面,如: https://servername/opensesame/
输入用户管理系统中为您注册的用户名和口令
![/!\](/m/monobook/img/alert.png "/!\")
注意:如果用户名口令连续输入错误超过预设值,整个 IP 地址会被拒绝服务(10分钟)
在打开的 web 页面中选择 ssh 服务,并点击提交按钮
在 5 分钟(0-5分钟)之内,用 ssh 客户端登录服务器
50000_Admin(2f)00010_Security(2f)00020_opensesame/attachments/opensesame2.png?ts=1267406615.0 "opensesame2.png")
注意登录服务器的用户帐号,由该服务器的管理员分配,和集中管理平台的用户名不同
登录成功后,会一直保持链接,直到退出登录或者服务超时。
如果想重新建立新的 SSH 登录,需要重复步骤 1-3。
50000_Admin(2f)00010_Security(2f)00020_opensesame/attachments/opensesame1.png?ts=1267406615.0 "opensesame1.png")